17 พ.ค. 2022 เวลา 13:00 • วิทยาศาสตร์ & เทคโนโลยี
การประเมินระดับความเสี่ยงด้านไซเบอร์และการบริหารความเสี่ยงด้านไซเบอร์ภายธุรกิจและองค์กร
2
ความเสี่ยงทางไซเบอร์คืออะไร ?
ความเสี่ยงทางไซเบอร์ คือ แนวโน้มที่จะได้รับผลกระทบจากการหยุดชะงักต่อข้อมูลที่ละเอียดอ่อน การเงิน หรือการดำเนินธุรกิจออนไลน์ รวมถึงการให้บริการบางอย่างที่มีความเกี่ยวข้องต่อการดำเนินธุรกิจและการให้บริการประชาชน
โดยทั่วไปความเสี่ยงทางไซเบอร์มีความเกี่ยวข้องกับเหตุการณ์ที่อาจส่งผลให้เกิดการละเมิดข้อมูล การขโมยข้อมูล หรือการทำลายข้อมูลเพื่อให้ไม่สามารถให้บริการได้
ความเสี่ยงทางไซเบอร์นั้นเป็นภัยคุกคามด้านความปลอดภัยต่อการดำเนินงานของธุรกิจและองค์กร ตัวอย่างของความเสี่ยงทางไซเบอร์ ได้แก่
  • Ransomware (แรนซัมแวร์)
หนึ่งในมัลแวร์ที่มีวัตถุประสงค์ที่มุ่งเน้นในการโจมตีข้อมูล ไฟล์ และเอกสารภายในระบบสารสนเทศของเป้าหมายโดยวิธีการเข้ารหัสข้อมูลด้วยวิธีการต่าง ๆ
1
เช่น การเข้ารหัสด้วย Advanced Encryption Standard (AES) ซึ่งเป็นหนึ่งในมาตรฐานการเข้ารหัสที่ได้รับความเชื่อถือในอุตสาหกรรมและองค์กรต่าง ๆ ที่ต้องการสร้างความมั่นใจและความปลอดภัยของข้อมูลเพื่อไม่ให้ผู้อื่นสามารถล่วงรู้ความลับของข้อมูลได้
เหตุนี้จึงทำให้ผู้ไม่หวังดีได้มีการพัฒนามัลแวร์ได้มีการเอาประโยชน์ของการเข้ารหัสนี้มาใช้ประโยชน์ด้วยการเข้ารหัสข้อมูลของเป้าหมายทำให้ไม่สามารถเข้าใช้ข้อมูลได้จนกว่าจะจ่ายค่าไถ่ข้อมูลให้กับผู้พัฒนา Ransomware
  • Data leaks (ข้อมูลรั่วไหล)
ข้อมูลรั่วไหลเกิดขึ้นเมื่อมีข้อมูลที่ละเอียดอ่อนหรือข้อมูลที่เป็นความลับถูกเปิดเผยโดยไม่ได้ตั้งใจบนอินเทอร์เน็ตหรือรูปแบบอื่นใด
การนำข้อมูลออกโดยอาจบันทึกผ่าน Flash drive External Hard disk หรือผ่านเครื่องคอมพิวเตอร์พกพาและเกิดการสูญหายซึ่งอาจเกิดความเสี่ยงที่ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
  • Phishing (ฟิชชิง)
คือการโจมตีรูปแบบหนึ่งที่หลอกให้เป้าหมายกรอกข้อมูลส่วนบุคคล ข้อมูลที่เป็นความลับ ข้อมูลทางการเงิน ข้อมูลบัตรประชาชน ด้วยวิธีการต่าง ๆ เพื่อให้เป้าหมายส่งข้อมูลนั้นให้กับผู้ไม่หวังดี
เช่น การส่งอีเมลหลอกเป้าหมาย “คุณมีการถอนเงินเป็นจำนวนหนึ่ง หากไม่ใช่กรุณาคลิกลิงก์ด้านล่างนี้เพื่อ ยกเลิกการทำรายการ” หรือ “คุณเป็นผู้โชคดีได้รับ iPhone ฟรีเพียงแค่กรอกข้อมูลในนี้”
และเมื่อเป้าหมายส่งข้อมูลให้กับผู้ไม่หวังดีแล้วผู้ไม่หวังนำข้อมูลไปดำเนินการเข้าถึงข้อมูลส่วนอื่น ๆ ของเป้าหมาย เช่นข้อมูลการเงิน ข้อมูลรหัสระบบต่าง ๆ ที่เป็นข้อมูลส่วนบุคคล
  • Malware (มัลแวร์)
หรือ Malicious Software (ซอฟต์แวร์อันตราย) คือซอฟต์แวร์ที่พัฒนาโดยผู้ไม่หวังดี เพื่อขโมยข้อมูลและสร้างความเสียหายให้กับระบบคอมพิวเตอร์ โดยมัลแวร์นั้นได้แบ่งออกเป็นหลายประเภท เช่น
- Virus (ไวรัส) เป็นซอฟต์แวร์ที่เป็นอันตรายต่อระบบสารสนเทศเป็นอย่างซึ่งโดยมุ่งเน้นในการโจมตี ขัดขวางเพื่อไม่ให้ระบบสามารถใช้งานได้
- Worms (เวิร์ม) เป็นซอฟต์แวร์ที่เป็นอันตรายต่อระบบสารเทศที่มีการเชื่อมต่อผ่านระบบเครือข่ายทั้งภายในและภายนอกโดยซอฟต์แวร์ชนิดนี้มุ่งเน้นเพื่อการโจมตี ขัดขวางการทำงานและขยายตัวส่งต่อภายในระบบเครือข่ายจนทำให้ไม่สามารถใช้งานระบบสารสนเทศได้
- Trojan (โทรจัน) เป็นซอฟต์แวร์ที่มีเป้าหมายการดักจับเปลี่ยนแปลงแก้ไขข้อมูลซึ่งอาจส่งผลต่อความถูกต้องของข้อมูลภายในระบบสารสนเทศหรือาจเกิดความเสียหายภายในระบบสารสนเทศได้
- Spyware (สปายแวร์) ซอฟต์แวร์ประสงค์ร้ายที่ทำงานอย่างลับๆ บนคอมพิวเตอร์และรายงานกลับไปยังผู้ใช้ระยะไกล โดยสปายแวร์มุ่งเน้นเพื่อขโมยข้อมูลทางการเงินหรือข้อมูลส่วนบุคคล
- Adware (แอดแวร์) คือซอฟต์แวร์ที่รวบรวมข้อมูลการใช้งานระบบคอมพิวเตอร์และจัดเตรียมโฆษณาให้กับเป้าหมาย ถึงแม้ว่าแอดแวร์อาจไม่เป็นอันตราย แต่ในบางกรณีแอดแวร์อาจทำให้เกิดปัญหากับระบบสารสนเทศได้ซึ่งแอดแวร์สามารถเปลี่ยนแปลงเส้นทางการเข้าถึงเว็บไซต์ไปสู่เว็บไซต์ที่ไม่ปลอดภัยได้
- Ransomware (แรนซัมแวร์) คือซอฟต์แวร์ที่มีวัตถุประสงค์ที่มุ่งเน้นในการโจมตีข้อมูล ไฟล์ และเอกสารภายในระบบสารสนเทศของเป้าหมายโดยวิธีการเข้ารหัสข้อมูล ไฟล์และเอกสารเพื่อไม่ให้เป้าหมายสามารถใช้งานได้
  • Insider threats (ภัยคุกคามจากภายใน)
คือภัยคุกคามจากภายในอาจเกิดขึ้นได้กับคนใกล้ชิดภายในองค์กรที่ได้รับอนุญาตในการเข้าถึงข้อมูลที่เป็นความลับซึ่งการเข้าถึงอาจส่งผลเสียต่อข้อมูลหรือระบบที่สำคัญขององค์กรได้ โดยภัยคุกคามชนิดนี้อาจจะเป็นพนักงาน ผู้ขาย ผู้รับเหมา หุ้นส่วนหรือบุคคลที่มีความใกล้ชิด โ
ดยความเสี่ยงและช่องโหว่ทางไซเบอร์นั้นมีวิธีการในการทำงานที่แตกต่างกัน โดยช่องโหว่ถือเป็นจุดอ่อนที่ส่งผลให้เกิดการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาตจากผู้ไม่หวังดีที่อาจก่อให้เกิดความเสี่ยงทางไซเบอร์ภายในระบบสารสนเทศของธุรกิจและองค์กร
การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์
การประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ช่วยให้ธุรกิจและองค์กรเข้าใจ ควบคุม และลดความเสี่ยงทางไซเบอร์ทุกรูปแบบ ที่เป็นองค์ประกอบสำคัญของการบริหารความเสี่ยงและลดความเสี่ยง
หากไม่มีการประเมินความเสี่ยงการรักษาความปลอดภัยทางไซเบอร์ อาจส่งผลกระทบต่อข้อมูลและทรัพยากรสำคัญใน การดำเนินการอยู่ของธุรกิจและองค์กรได้ การใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ มีวิธีการคำนวณตาม OWASP Risk โดยมีขั้นตอนการประเมินความเสี่ยงดังนี้
1. ระบุความเสี่ยง คือการระบุถึงความเสี่ยงที่จะเกิดขึ้นกับระบบสารสนเทศ
2. ปัจจัยในการประมาณความน่าจะเป็น คือปัจจัยที่สามารถช่วยกำหนดความน่าจะเป็นได้ ซึ่งมีความเกี่ยวข้องกับตัวภัยคุกคาม
3. ปัจจัยในการประเมินผลกระทบ คือปัจจัยที่ส่งผลกระทบการทำงานของระบบสารสนเทศ
4. การกำหนดความรุนแรงของความเสี่ยง คือความรุนแรงที่อาจส่งผลกระทบต่อระบบสารสนเทศ
5. ตัดสินใจว่าจะแก้ไขในอนาคตหรือไม่ คือมีแนวโน้มที่จะแก้ไขช่องโหว่ที่เกิดขึ้นนี้ในอนาคตหรือไม่
6. การจำลองการประเมินความเสี่ยง คือการมีกรอบการจัดลำดับความเสี่ยงที่ปรับแต่งได้สำหรับธุรกิจเป็นสิ่งสำคัญสำหรับการนำไปใช้
เมื่อเข้าสู่ขั้นตอนการประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์ โดยคำนึงถึงจุดอ่อนที่มีระดับความเสี่ยงต่ำหมายถึงจุดอ่อนมีความรุนแรงต่ำ จุดอ่อนที่มีความเสี่ยงสูงหมายถึงจุดอ่อนที่อาจก่อให้เกิดความเสียหายต่อระบบสารสนเทศสูงหรือมีระดับความรุนแรงสูง และง่ายต่อการโจมตี
โดยใช้หลักการวิเคราะห์ความรุนแรงของช่องโหว่และการประเมินความเสี่ยง ดังนี้
ความรุนแรง
  • มาก ช่องโหว่สามารถขัดขวาง หรือยุติการให้บริการ หรือทำให้ข้อมูลเสียหายได้
  • ปานกลาง ช่องโหว่ไม่สามารถทำให้ระบบหยุดการให้บริการได้ หรือจำเป็นจะต้องอาศัยช่องโหว่อื่นๆ ช่วยในการทำให้ระบบยุติการให้บริการ
  • ต่ำ ช่องโหว่ไม่สามารถยุติการให้บริการได้ แต่ทำให้ได้ข้อมูลพื้นฐานเกี่ยวกับการให้บริการ
ซึ่งการประเมินความเสี่ยงทางไซเบอร์ถูกกำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เป็นการประเมินความเสี่ยงที่ใช้ในการระบุ การประมาณการและการจัดลำดับความสำคัญของความเสี่ยง ต่อการดำเนินงานของธุรกิจและองค์กร สินทรัพย์ของธุรกิจและองค์กร บุคคล ธุรกิจและองค์กรอื่นๆ และประเทศ
ซึ่งเป็นผลมาจากการดำเนินงานและการใช้ระบบสารสนเทศ วัตถุประสงค์หลักของการประเมินความเสี่ยงทางไซเบอร์คือ การแจ้งให้ผู้มีส่วนได้ส่วนเสียทราบและสนับสนุนการตอบสนองที่เหมาะสมต่อความเสี่ยงที่เกิดขึ้น
พร้อมสามารถสรุปข้อมูลสำคัญสำหรับผู้บริหาร เพื่อช่วยผู้บริหารและกรรมการในการตัดสินใจเกี่ยวกับการรักษาความปลอดภัย
การบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ การบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์คือ แนวปฏิบัติในการจัดลำดับความสำคัญของ มาตรการป้องกันความปลอดภัยทางไซเบอร์
โดยพิจารณาจากผลกระทบที่อาจเกิดขึ้นจากภัยคุกคามที่ออกแบบ มาเพื่อใช้ในการโจมตีเป้าหมาย การสร้างแนวทางการบริหารความเสี่ยง เพื่อการสร้างความมั่นคงด้านความปลอดภัยทางไซเบอร์
1
ซึ่งธุรกิจและองค์กรที่เกิดขึ้นใหม่ อาจไม่สามารถกำจัดช่องโหว่ของระบบทั้งหมดหรือบล็อกการโจมตี ทางไซเบอร์ได้ทั้งหมด ผ่านการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์
ธุรกิจและองค์กรควรให้ความสำคัญกับข้อบกพร่องของระบบ แนวโน้มภัยคุกคาม และการโจมตีที่สำคัญที่สุดต่อธุรกิจก่อน
ขอบคุณข้อมูลจาก : สำนักงานส่งเสริมเศรษฐกิจดิจิทัล https://www.depa.or.th/th/article-view/cyber-risk-assessment-and-cyber-risk-management
โฆษณา